fucking awesome malware analysis

Куративный список удивительных инструментов и ресурсов анализа вредоносных программ. Вдохновлен 228609 25039? Awesome-Python) и 31110 5080? Awesome-Php).

• Коллекция вредоносных программ
  • Анонимные
  • Honeypots
  • Вредоносные программы
• Интеллект угрозы с открытым исходным кодом
  • Инструменты
  • Другие ресурсы
• Обнаружение и классификация
• Онлайн -сканеры и песочницы
• Анализ домена
• Удолосование браузера
• Документы и шоссе
• Файл резьба
• Деобфускация
• Отладка и обратная техника
• Сеть
• ПЕРЕМЕНИНАЯ ПЕРЕМЕНИКА
• Артефакты Windows
• Хранение и рабочий процесс
• Разнообразный
• Ресурсы
  • Книги
  • Другой
• Связанные потрясающие списки
• Внося
• Спасибо

Посмотреть китайский перевод: 恶意软件分析大合集 ​​.md.

Анонимные веб -трафика для аналитиков.

• Anonymouse.org - бесплатный веб -анонимный аноним.
• ? OpenVPN - программное обеспечение и хостинг VPN.
• Privoxy - прокси -сервер с открытым исходным кодом с некоторыми функциями конфиденциальности.
• ? Tor - луковый маршрутизатор, для просмотра Интернета, не оставляя следы IP клиента.

Ловить и собирайте свои собственные образцы.

• 1261 417? Conpot) - ics/scada honeypot.
• 5271 903? Cowrie) - SSH Honeypot, на основе Kippo.
• 61 12? Demohunter) - Низкое взаимодействие распределенных медонов.
• 718 184? Dionaea) - Honeypot, предназначенная для ловушки вредоносного ПО.
• 565 168? Glastopf) - веб -приложение Honeypot.
• Honeyd - Создайте виртуальную Honeynet.
• ? Honeydrive - Dephot Bundle Linux Distro.
• 1230 174? Honeytrap) - OpenSource System для работы, мониторинга и управления Honeypots.
• 2440 631? MHN) - MHN - это централизованный сервер для управления и сбора данных HoneyPots. MHN позволяет быстро развернуть датчики и немедленно собирать данные, которые можно просматривать из аккуратного веб -интерфейса.
• 46 39? Мнемосин) - нормализатор для данных HoneyPot; Поддерживает Dionaea.
• 998 203? Бандит) - низкий взаимодействие HoneyClient, для изучения вредоносных сайтов.

Образцы вредоносных программ, собранные для анализа.

• Чистый MX - База данных в реальном времени вредоносных программ и вредоносных доменов.
• Contagio - коллекция недавних образцов и анализов вредоносных программ.
• ? Эксплойтская база данных - Эксплойт и образцы шелка.
• ? Infosec - Cert -PA - Сбор и анализ образцов вредоносных программ.
• ? Labs Incest - Evergroucing Searchain Corpus of Mi -of Microsoft Documents.
• 686 238? Коллекция JavaScript Mallware) - Коллекция почти 40 000 образцов вредоносных программ JavaScript
• ? Malpedia - ресурс, обеспечивающий быстрый идентификационный и действенный контекст для расследований вредоносных программ.
• ? MALSHARE - Большое хранилище вредоносных программ активно отказалось от вредоносных сайтов.
• 94 25? Ragpicker) - Глобопровод на основе плагинов с предварительным анализом и функциональными возможностями отчетности
• 11438 2532? Thezoo) - Живые образцы вредоносных программ для аналитиков.
• Tracker H3X - Агрегатор для мультипликационного корпуса Tracker и вредоносные сайты загрузки.
• ? ?? Vduddu Malware Repo) - Сбор различных вредоносных файлов и исходного кода.
• ? Virusbay - сообщество на уровне репозитория вредоносных программ и социальная сеть.
• Virusign - База данных вредоносных программ, обнаруженная многими анти вредоносными программами, кроме Clamav.
• ? Virusshare - хранилище вредоносных программ, требуется регистрация.
• VX Vault - активная коллекция образцов вредоносных программ.
• ? Источники Zeltser - список источников образцов вредоносных программ, созданных Ленни Зельтсером.
• 1427 697? Исходный код Зевса) - Источник для Trojan Zeus Trojan просочился в 2011 году.
• VX Underground - Массовая и растущая коллекция бесплатных образцов вредоносных программ.

Урожай и проанализируйте МОК.

• 122 18? Злоупотребление) - рамка с открытым исходным кодом для получения и перераспределения кормов и угроз Intel.
• ? Alienvault Open Exchange - обмен и сотрудничает в разработке интеллекта угроз.
• 657 171? Объединить) - инструмент для сбора индикаторов интеллекта угроз из общедоступных источников.
• 119 25? FileIntel) - разведка интеллекта на файл хэш.
• 265 51? HOSTINTEL) - Потяните интеллект на хоста.
• ? Intelmq - инструмент для CERT для обработки данных об инцидентах с использованием очереди сообщений.
• ? Редактор IOC - бесплатный редактор для XML IOC файлов.
• 513 91? iocextract) - расширенный индикатор компромиссного экстрактора (IOC), библиотеки Python и инструмента командной строки.
• 201 61? ioc_writer) - библиотека Python для работы с объектами Openioc, от Mandiant.
• 104 24? MALPIPE) - Вреду/IOC проглатывание и обработка, который обогащает собранные данные.
• 228 60? Массовая Octo Spice) - ранее известный как CIF (структура коллективного интеллекта). Агрегаты МОК из различных списков. Куратор фонда CSIRT Гаджетов.
• 5449 1416? MISP) - Платформа обмена информацией о вредоносных программах, кураторская проект MISP.
• ? Pulsedive-Бесплатная, управляемая сообществом платформу для интеллектуальной интеллектуальной платформы, собирая МОК из каналов с открытым исходным кодом.
• 18 7? Pyioce) - редактор Python Openioc.
• ? RiskIIQ - Исследование, подключение, теги и обмениваться IP и доменами. (Был пассивтотальным.)
• 80 27? Угрозачелятор) - Совокупные угрозы безопасности из ряда источников, в том числе некоторые из перечисленных ниже в других ресурсах.
• ? AgenconConnect - TC Open позволяет вам видеть и делиться данными об угрозах с открытым исходным кодом, при поддержке и проверке от нашего бесплатного сообщества.
• ? Угроза - поисковая система для угроз, с графической визуализацией.
• ? ?? Ageningestor) - Постройте автоматическую угрозу Intel Pipes Sourcing из Twitter, RSS, GitHub и многое другое.
• 66 13? Угроза) - скрипт Python для мониторинга и генерации оповещений на основе IOC, индексированных набором пользовательских систем Google.
• 173 43? TIQ -тест) - Визуализация данных и статистический анализ каналов интеллекта угроз.

Интеллект угрозы и ресурсы МОК.

• ? AutoShun? Список) - плагин фырканье и blocklist.
• Bambenek Consulting Feeds - Feeds Osint на основе злонамеренных алгоритмов DGA.
• ? Fidelis Barncat - обширная база данных конфигурации вредоносных программ (необходимо запросить доступ).
• Армия CI (список) - списки сетевой безопасности.
• ? Критическая стека - бесплатный рынок Intel - бесплатный агрегатор Intel с дедупликацией с 90+ каналами и более 1,2 млн. Индикаторов.
• Cybercrime Tracker - Active Tracker с несколькими ботнетами.
• 465 117? FireEye iocs) - Индикаторы компромисса, общих публично, FireEye.
• ? Списки IP Firehol - Аналитика для 350+ списков IP с акцентом на атаки, вредоносные программы и злоупотребления. Эволюция, история изменений, карты страны, возраст IPS, политика удержания, совпадения.
• ? HoneyDB - Общественное сбор данных датчиков и агрегации датчиков Honeypot.
• 213 110? HPFEEDS) - Протокол подачи Honeypot.
• ? Infosec - Списки Cert -PA? IPS -? Домены -? URLS) - BlockList Service.
• ? Onpest repdb - Непрерывная агрегация МОК из различных источников открытой репутации.
• ? Следствие IOCDB - Непрерывная агрегация МОК из различных блогов, github Repos и Twitter.
• ? Центр интернет -штормов (DSHIELD) - Дневник и база данных об инцидентах с возможностью поиска с Интернетом? API. ( 29 13? Неофициальная библиотека Python)).
• MALC0DE - База данных об инцидентах с возможностью поиска.
• Список доменов вредоносных программ - Поиск и делится вредоносными URL -адресами.
• ? Metadefender угроза подача интеллекта - список наиболее поисковых хэшей с файлами из Metadefender Cloud.
• ? OpenIOC - структура для обмена интеллектом угроз.
• ? Интеллектуальная информация об угрозе доказательства - наборы правил и многое другое. (Ранее появляющиеся угрозы.)
• ? Обзор вымогателей - список обзора вымогателей с деталями, обнаружением и профилактикой.
• Stix - Структурированная информация об угрозе - стандартизированный язык для представления и обмена информацией о киберугрозах. Связанные усилия? Митра:
  • CAPEC - Общее перечисление и классификация шаблона атаки
  • Экспрессия кибер -наблюдателя
  • MAEC - Удача и характеристика атрибутов вредоносных программ
  • Такси - доверенный автоматический обмен индикатором информации
• ? SystemLookup - SystemLookup проводит коллекцию списков, которые предоставляют информацию о компонентах законных и потенциально нежелательных программ.
• ? AGHETMINER - портал добычи данных для интеллекта угроз, с поиском.
• ? TreaTrecon - Поиск индикаторов, до 1000 бесплатно в месяц.
• ? Угроза - C2 Tracker Tracker
• 4218 1008? Яра правил) - Яра правит репозиторий.
• 1769 294? Yeti) - Yeti - это платформа, предназначенная для организации наблюдаемых, индикаторов компромисса, TTP и знаний об угрозах в едином едином репозитории.
• ? Зевс -трекер - блокировки Zeus.

Антивирус и другие инструменты идентификации вредоносных программ

• 204 35? Analyzepe) - Обертка для различных инструментов для отчетности в файлах Windows PE.
• ? Assemblyline - масштабируемая система сортировки файлов и анализ вредоносных программ, интегрирующая лучшие инструменты сообщества кибербезопасности.
• 1416 186? BinaryAlert) - с открытым исходным кодом, без серверного конвейера AWS, который сканирует и оповещает загруженные файлы на основе набора правил Yara.
• 4973 567? CAPA) - Обнаружение возможностей в исполняемых файлах.
• CHKROOTKIT - локальное обнаружение Linux Rootkit.
• Кламав - антивирусный двигатель с открытым исходным кодом.
• 7842 738? Обнаруйте это легко (Die)) - программа для определения типов файлов.
• Exeinfo PE - Пэкер, детектор компрессора, информация о распаковке, внутренние инструменты EXE.
• ? Exiftool - Читать, записать и редактировать метаданные файла.
• 290 49? Файл -сканирование платформы) - модульное, рекурсивное решение для сканирования файлов.
• 1573 192? FN2YARA) - FN2YARA - это инструмент для создания сигнатур YARA для сопоставления функций (код) в исполняемой программе.
• 1 0? Общий анализатор файла) - один библиотечный анализатор для извлечения мета -информации, статического анализа и обнаружения макросов в файлах.
• 718 132? Hashdeep) - вычислить хэши с разнообразными алгоритмами.
• 1777 195? Хэшкек) - расширение оболочки Windows для вычисления хэшей с различными алгоритмами.
• 3429 585? Локи) - Сканер на основе хоста для МОК.
• 192 35? Неисправность) - каталог и сравнить вредоносное ПО на уровне функциональных.
• 1025 161? Манализ) - Статический анализатор для исполнителей PE.
• 176 40? Мастиф) - Статическая структура анализа.
• 618 125? Multiscanner) - структура модульного сканирования/анализа файлов
• 533 80? Детектор файлов nauz (NFD)) - Дискер/компилятор/детектор инструментов для Windows, Linux и MacOS.
• 112 10? nsrllookup) - инструмент для поиска хэшей в базе данных Nist's Nation Software Bibrary.
• 42 9? PACKERID) - Крестоплатформенная альтернатива Python Peid.
• ? PE -Bear - инструмент для обращения для файлов PE.
• 612 139? Peframe) - Peframe - это инструмент с открытым исходным кодом для выполнения статического анализа портативного исполняемого вредоносного ПО и вредоносных офисных документов MS.
• PEV - мультиплатформенный инструментарий для работы с файлами PE, предоставляя богатые функции инструменты для правильного анализа подозрительных двоичных файлов.
• 499 95? Portex) - библиотека Java для анализа файлов PE с особым акцентом на анализ вредоносных программ и устойчивости PE.
• 1344 170? Quark-Engine)-систему зачетной программы для Android-Android-Uglect
• Rootkit Hunter - обнаружил Linux Rootkits.
• ? SSDEEP - Вычислить нечеткие хэши.
• ? TotalHash.py - Скрипт Python для легкого поиска? TotalHash.cymru.com База данных.
• TRID - Идентификатор файла.
• ? Яра - инструмент соответствия шаблонов для аналитиков.
• 1577 282? Генератор правил Yara) - генерируйте правила Yara на основе набора образцов вредоносных программ. Также содержит хорошие струны, чтобы избежать ложных срабатываний.
• 2 0? Yara Finder) - простой инструмент для Yara соответствовать файлу с различными правилами Yara, чтобы найти показатели подозрений.

Интернет-сканеры и песочницы для вредоносных программ для автоматического анализа.

• ? anlyz.io - онлайн -песочница.
• ? any.run - онлайн -интерактивная песочница.
• ? Andrototal - Бесплатный онлайн -анализ APK против нескольких мобильных антивирусных приложений.
• 237 38? Boombox) - Автоматическое развертывание лаборатории вредоносных программных программных программ с кукушкой с использованием Packer и Vagrant.
• Cryptam - анализируйте подозрительные офисные документы.
• ? Песочница кукушки - с открытым исходным кодом, самостоятельная песочница и автоматизированная система анализа.
• 271 100? модифицированный кукушками) - модифицированная версия песочницы с кукушкой, выпущенная под GPL. Не объединено вверх по течению из -за юридических проблем со стороны автора.
• 22 7? модифицированный апиратор)-API Python, используемый для управления модифицированной кукушкой песочницей.
• ? DeepViz-Multi-Format File Analyzer с классификацией машинного обучения.
• ? ?? DETUX) - Песочница, разработанная для анализа движения Linux Malwares и захвата IOC.
• 1076 255? Drakvuf) - Динамическая система анализа вредоносных программ.
• ? FileScan.io - анализ статического вредоносного ПО, эмуляция VBA/PowerShell/VBS/JS
• Firmware.re - распаковка, сканирование и анализ практически любого пакета прошивки.
• 734 220? Habomalhunter) - инструмент автоматического анализа вредоносных программ для файлов ELF Linux.
• ? Гибридный анализ - онлайн -инструмент анализа вредоносных программ, работающий на VXSAndbox.
• ? Intezer - обнаружить, анализировать и классифицировать вредоносное ПО, определив повторное использование кода и сходства кода.
• Ирма - асинхронная и настраиваемая платформа для анализа для подозрительных файлов.
• ? Joe Sandbox - глубокий анализ вредоносных программ с Joe Sandbox.
• ? Jotti - бесплатный онлайн -сканер с несколькими AV.
• 390 115? Лимон) - Песочница для анализа вредоносных программ Linux.
• 369 101? Малхер) - Автоматический анализ поведения вредоносных программ.
• 1658 270? Malice.io) - Массовая структура анализа вредоносных программ.
• 368 80? MALSUB) - Python Restful Framework для онлайн -вредоносных и URL -анализа.
• ? Удовлетворительный конфигурация - извлечь, декодировать и отображать онлайн настройки конфигурации из Common Malwares.
• ? MALWAREANALYSER.IO - Статический анализатор на основе аномалий на основе аномалий в Интернете с эвристическим двигателем обнаружения, оснащенным добычей данных и машинного обучения.
• ? MALWR - Бесплатный анализ с онлайн -экземпляром песочницы кукушки.
• ? Metadefender Cloud - сканируйте файл, хэш, IP, URL или доменное адрес для вредоносных программ бесплатно.
• ? NetworkTotal - служба, которая анализирует файлы PCAP и облегчает быстрое обнаружение вирусов, червей, троян и всех видов вредоносных программ с использованием Suricata, настроенных с EmergingThreats Pro.
• 1133 222? NORIBEN) - использует Sysinternals Procmon для сбора информации о вредоносных программах в среде с песочкой.
• ? Packettotal - Packettotal - это онлайн -двигатель для анализа файлов .pcap и визуализации сетевого трафика внутри.
• PDF Examiner - Проанализируйте подозрительные файлы PDF.
• Procdot - набор инструментов для анализа графических вредоносных программ.
• 130 39? Recomposer) - вспомогательный сценарий для безопасной загрузки двоичных файлов на сайты песочницы.
• 138 40? Sandboxapi) - Библиотека Python для строительства интеграции с несколькими песочницей с открытым исходным кодом и коммерческими оболочками.
• 817 104? См.) - Среда выполнения на песочке (см.) - это основа для автоматизации испытаний по строительству в защищенных средах.
• ? Анализ Dropper Sekoia - онлайн -анализ капельницы (JS, VBScript, Microsoft Office, PDF).
• ? Virustotal - Бесплатный онлайн -анализ образцов и URL -адресов вредоносных программ
• 139 30? Visualize_logs) - Библиотека визуализации с открытым исходным кодом и инструменты командной строки для журналов. (Кукушка, Прокмон, еще больше ...)
• ? Список Zeltser - бесплатные автоматические песочницы и услуги, составленные Ленни Зелтсером.

Осмотрите домены и IP -адреса.

• ? ObseiPdb - ObseiPdb - это проект, посвященный помощи в борьбе с распространением хакеров, спамеров и оскорбительной деятельности в Интернете.
• ? Badips.com - Сообщество IP Blacklist Service.
• 38 6? Boomerang) - инструмент, предназначенный для последовательного и безопасного захвата сетевых веб -ресурсов.
• ? Cymon - Trade Intelligence Tracker, с поиском IP/Domain/Hash.
• Desenmascara.me - инструмент одного клика, чтобы получить как можно больше метаданных для веб -сайта и оценить его хорошую репутацию.
• ? Dig - БЕСПЛАТНЫЙ онлайн -копать и другие сетевые инструменты.
• 4957 777? DNSTWIST) - Двигатель пересечения доменных имен для обнаружения приседа, фишинга и корпоративного шпионажа.
• 100 24? IPINFO) - Соберите информацию о IP или домене путем поиска онлайн -ресурсов.
• 505 101? Machinae) - инструмент Osint для сбора информации о URL -адресах, IPS или хэше. Похоже на Automator.
• 1655 258? Mailchecker) - Библиотека временного обнаружения по электронной почте поперечного языка.
• 80 22? MALTEGOVT) - Мальтего трансформация для вирустотального API. Позволяет исследовать домен/IP и искать хэши и отчеты о сканировании файлов.
• Multi RBL - несколько DNS BlackList и Poards подтвердили обратный поиск DNS более 300 RBL.
• ? Службы Normshield - Бесплатные услуги API для обнаружения возможных фишинговых доменов, IP -адресов с черным списком и нарушенных учетных записей.
• ? Phishstats - фишинговая статистика с поиском IP, домена и названия веб -сайта
• ? Spyse - Subdomains, Whois, Realted Domains, DNS, Hosts AS, SSL/TLS Info,
• ? SecurityTrails - Исторические и текущие WHOIS, исторические и текущие записи DNS, аналогичные домены, информация о сертификате и другие API и инструменты, связанные с IP.
• ? SPAMCOP - Список спам -блоков на основе IP.
• ? Spamhaus - Блок -списк на основе доменов и IPS.
• ? Sucuri Sitecheck - Бесплатный веб -сайт вредоносной программы и сканер безопасности.
• ? Talos Intelligence - Поиск IP, домена или владельца сети. (Ранее SenderBase.)
• Tekdefense Automater - инструмент Osint для сбора информации об URL -адресах, IPS или HASHE.
• ? Urlhaus - проект от злоупотреблений.
• Urlquery - бесплатный URL -сканер.
• ? urlscan.io - бесплатный URL -сканер и информация о домене.
• ? Whois - domaintools бесплатно онлайн whois search.
• ? Список Zeltser - бесплатные онлайн -инструменты для исследования вредоносных веб -сайтов, составленных Ленни Зелтсером.
• ? Zscalar Zulu - ulu URL -анализатор.

Проанализируйте вредоносные URL -адреса. См. Также анализ домена и документы и разделы ShellCode.

• 14757 1155? Bytecode Viewer) - объединяет несколько зрителей Java Bytecode и декомпиляторы в один инструмент, включая поддержку APK/DEX.
• ? Firebug - Extension Firefox для веб -разработки.
• Java Decropiler - декомпиляция и осматривает Java -приложения.
• ? ?? Java Idx Parser) - Подбор файлов кеша Java idx.
• JSDetox - инструмент анализа вредоносных программ JavaScript.
• 163 65? jsunpack -n) - JavaScript uncalcer, который имитирует функциональность браузера.
• 2006 223? Krakatau) - Java Decropiler, Assembler и Disasssembler.
• Малзилла - анализировать вредоносные веб -страницы.
• 432 92? Rabcdasm) - «надежный дискемблер ActionScript Bytecode».
• ? SWF Expligator - Статический и динамический анализ приложений SWF.
• Swftools - Инструменты для работы с Adobe Flash Files.
• xxxswf - сценарий Python для анализа флэш -файлов.

Проанализируйте вредоносный JS и SheltCode из PDFS и офисных документов. См. Также раздел вредоносных программ браузера.

• 178 41? Analyzepdf) - инструмент для анализа PDF -файлов и попыток определить, являются ли они злонамеренными.
• 623 86? Box -JS) - Инструмент для изучения вредоносного ПО JavaScript с поддержкой JScript/WSCRICT и эмуляцией ActiveX.
• Distorm - Disasssembler для анализа вредоносного оборудования.
• ? Depest Deep File Inspection - Загрузите общие вредоносные приманки для глубокой проверки файлов и эвристического анализа.
• JS Beautifier - JavaScript Распаковка и деобфускация.
• Libemu - Библиотека и инструменты для эмуляции x86 ShellCode.
• 53 16? MALPDFOBJ) - Деконструируйте злонамеренные PDFS в представление JSON.
• OfficeMalsCanner - сканирование для вредоносных следов в офисных документах MS.
• Olevba - сценарий для анализа документов OLE и OPEXML и извлечения полезной информации.
• ? Origami PDF - инструмент для анализа вредоносных PDF -файлов и многое другое.
• ? PDF -инструменты - PDFID, PDF -Parser и многое другое от Дидье Стивенса.
• 35 9? PDF рентгеновский лайт)-инструмент анализа PDF, версия рентгеновского излучения PDF без бэкэнд.
• PEEPDF - Python Tool для изучения возможных вредоносных PDF.
• ? Quicksand - Quicksand - это компактная C -структура для анализа подозрений на вредоносные программы для идентификации эксплойтов в потоках различных кодировки, а также для поиска и извлечения встроенных исполняемых файлов.
• ? Spidermonkey - двигатель JavaScript Mozilla, для отладки вредоносной JS.

Для извлечения файлов из изображений изнутри и памяти.

• 1133 192? BULK_EXTRACTOR) - Быстрая инструмент для резьбы файлов.
• 193 22? Evtxtract) - Creve Windows Event Mog Files из Raw Binary Data.
• Прежде всего - инструмент для резьбы файлов, разработанный ВВС США.
• 624 69? Hachoir3) - Hachoir - это библиотека Python для просмотра и редактирования поле бинарного потока по полю.
• 629 100? Скальпель) - Еще один инструмент для резки данных.
• 82 48? Sflock) - вложенная извлечение архива/распаковка (используется в песочнице кукушки).

Обратный XOR и другие методы запутывания кода.

• ? BALBUZARD - инструмент анализа вредоносных программ для обращения запутывания (XOR, ROL и т. Д.) И многое другое.
• 7008 2691? de4dot) - .net deobfuscator и uncecker.
• ex_pe_xor & iheartxor - два инструмента от Александра Ханеля для работы с однобайтными кодированными файлами XOR.
• 3352 456? Floss) - Fireeye Labs запутанный решатель строк использует расширенные методы статического анализа для автоматического деобфусказанга из бинарных программ вредоносных программ.
• 86 18? Nomorexor) - Угадайте клавишу XOR 256 байтов, используя частотный анализ.
• 270 72? PackerAttacker) - общий скрытый кодовый экстрактор для вредоносных программ Windows.
• 3055 626? Экстрактор Pyinstaller) - скрипт Python для извлечения содержимого исполняемого файла Pyinstaller, сгенерированного Windows. Содержимое файла PYZ (обычно PYC -файлов), присутствующего внутри исполняемого файла, также извлекаются и автоматически фиксируются, так что декомпилан Python Bytecode будет распознавать его.
• ? ?? endpyle6) - декомпилятор Python Python Python. Перевод Python Bytecode обратно в эквивалентный исходный код Python.
• 670 83? un {i} Packer) - Автоматический и независимый от платформы непотительный непотительный для двоичных файлов на основе эмуляции.
• ? ?? Неупотреблятель) - Автоматизированный вредоносной помощи для Windows вредоносной программы на основе WinAppdbg.
• ? ?? Unxor) - угадайте клавиши Xor, используя атаки известных Plaintext.
• 133 24? VirtualDeoBfuscator) - Инструмент обратного инженерного инженера для оберток виртуализации.
• Xorbruteforcer - сценарий Python для грубых зажигания однобайтовых клавиш Xor.
• ? Xorsearch & xorstrings - пара программ от Дидье Стивенса для поиска XORED.
• 1406 173? Xortool) - угадайте длину клавиши XOR, а также сама клавиша.

Разборщики, отладчики и другие инструменты статического и динамического анализа.

• 7659 1088? ANGR) - Платформа -агрессивная бинарная структура анализа, разработанная в SECLAB UCSB.
• ? ?? BAMFDETECT) - идентифицирует и извлекает информацию из ботов и других вредоносных программ.
• 2081 273? BAP) - Многоплатформенная и открытая (MIT) Бинальная структура анализа, разработанная на CMU Cylab.
• 1413 168? BARF) - Многоплатформ, бинарный анализ с открытым исходным кодом и обратная инженерная структура.
• 2878 453? Binnavi) - Бинарный анализ IDE для обратной инженерии на основе визуализации графика.
• ? Бинарный ниндзя - реверсирующая инженерная платформа, которая является альтернативой IDA.
• 11665 1578? Binwalk) - инструмент анализа прошивки.
• 123 22? Bluepill) - структура для выполнения и отладки уклончивой вредоносной программы и защищенных исполнителей.
• 7693 1562? CAPSTONE) - Рамочная структура разборки для бинарного анализа и обращения, при поддержке многих архитектур и привязков на нескольких языках.
• 44 6? CodeBro) - Интернет -браузер с использованием Clang для обеспечения базового анализа кода.
• ? ?? Резак) - графический интерфейс для Radare2.
• 808 168? DECAF (Динамическая структура анализа исполняемого кода)) - платформа бинарного анализа, основанная на QEMU. DroidScope теперь является расширением кофе без кофеината.
• 26848 5153? dnspy) - .NET Assembly Editor, декомпилятор и отладчик.
• ? Dotpeek - бесплатный .NET Декомпилятор и браузер сборки.
• Отладчик Эвана (EDB) - модульный отладчик с QT GUI.
• 2258 194? Fibratus) - Инструмент для исследования и трассировки ядра Windows.
• ? FPORT - Отчеты открывают порты TCP/IP и UDP в живой системе и отображают их с приложением.
• GDB - отладчик GNU.
• 7107 742? GEF) - Увеличенные функции GDB, для эксплуататоров и реверс -инженеров.
• 52649 5953? Ghidra) - структура обратной инженерии программного обеспечения (SRE), созданная и поддерживаемая Управлением Агентства национальной безопасности.
• 170 19? Hackers -Grep) - утилита для поиска строк в исполняемых файлах PE, включая импорт, экспорт и символы отладки.
• ? Хоппер - MacOS и Linux Disasssembler.
• ? IDA Pro - Windows Disassembler и Debugger, с бесплатной оценкой версией.
• 981 226? IDR) - Interactive Delphi Reconstructor является декомпилятором исполняемых файлов Delphi и динамических библиотек.
• Отладчик иммунитета - отладчик для анализа вредоносных программ и многое другое, с Python API.
• Ilspy - Ilspy - это браузер с открытым исходным кодом .NET .NET Assembly и декомпилятор.
• Kaitai Struct - DSL для форматов файлов / сетевых протоколов / структур данных Обратная техническая инженерия и рассечение, с генерацией кода для C ++, C#, Java, JavaScript, Perl, PHP, Python, Ruby.
• ? Lief - Lief обеспечивает кроссплатформенную библиотеку для анализа, модификации и абстрактных форматов ELF, PE и мачо.
• LTRACE - Динамический анализ для исполнителей Linux.
• 85 24? Mac-A-Mal)-автоматическая структура для охоты на вредоносные программы Mac.
• ? objdump - часть Gnu binutils, для статического анализа бинарных файлов Linux.
• Ollydbg - отладчик на уровне сборки для исполнителей Windows.
• ? Ollydumpex - сброс память из (распакованного) вредоносного процесса Whindware и хранить необработанную или перестроить файл PE. Это плагин для Ollydbg, иммунитета, отладчика, IDA Pro, Windbg и X64DBG.
• 105 42? Panda) - платформа для нейтрального архитектуры динамического анализа.
• 5915 809? PEDA) - Python Exploit Revelopment Assive для GDB, улучшенный дисплей с добавленными командами.
• ? Pestudio - выполните статический анализ исполняемых файлов Windows.
• 1573 192? Pharos) - Фаровая структура бинарного анализа Pharos может быть использована для проведения автоматического статического анализа двоичных файлов.
• 3049 276? Плазма) - интерактивный разборщик для x86/arm/mips.
• ? PPEE (Puppy) - профессиональный PE File Explorer для реверсий, исследователей вредоносных программ и тех, кто хочет больше проверять файлы PE более подробно.
• ? Process Explorer - Advanced Task Manager для Windows.
• Процесс хакер - инструмент, который контролирует системные ресурсы.
• ? Процесс -монитор - расширенный инструмент мониторинга для программ Windows.
• ? Pstools - инструменты командной строки Windows, которые помогают управлять и исследовать живые системы.
• 386 95? Pyew) - инструмент Python для анализа вредоносных программ.
• 1657 247? Pyrebox) - Scriptable Scriptable Scriptable Maninger Engineering Sandbox от команды Talos в Cisco.
• ? Qiling Framework - Структура эмуляции и санбоксинга поперечной платформы с инструментами для бинарного анализа.
• ? ?? QKD) - QEMU со встроенным сервером WindBG для отладки стелс.
• RADARE2 - Обратная инженерная структура, с поддержкой отладчиков.
• ? Regshot - реестр сравнить утилиту, которая сравнивает снимки.
• ? Retdec - ретаржетабельный декомпилятор машинного кода с An? онлайн -сервис декомпиляции и? API, который вы можете использовать в своих инструментах.
• 285 42? Ropmemu) - структура для анализа, анализа и декомпиляции сложных атак с кодом.
• 1128 232? Scylla Imports Reconstructor) - Найдите и исправьте IAT распакованного / сброшенного вредоносного ПО PE32.
• 3526 441? Scyllahide)-библиотека и плагин и плагин для Anti-Anti-Debug для Ollydbg, x64dbg, Ida Pro и Titanengine.
• 66 15? SMRT) - Инструмент исследований в отношении вредоносных программ, плагин для Sublime 3, чтобы помочь в анализе вредоносных программ.
• ? Strace - Динамический анализ для исполнителей Linux.
• 688 125? Stringsifter) - инструмент машинного обучения, который автоматически оценивает строки на основе их актуальности для анализа вредоносных программ.
• ? Тритон - динамический бинарный анализ (DBA).
• 1029 298? UDIS86) - библиотека и инструмент для разборщика для x86 и x86_64.
• 945 187? Vivisect) - инструмент Python для анализа вредоносных программ.
• ? Windbg - многоцелевой отладчик для операционной системы компьютерной системы Microsoft Windows, используемой для отладки приложений пользовательских режимов, драйверов устройств и дамп памяти ядра.
• ? ?? X64dbg) - отладчик с открытым исходным кодом x64/x32 для Windows.

Проанализировать сетевые взаимодействия.

• ? Bro - анализатор протокола, который работает в невероятной масштабе; И файловые, и сетевые протоколы.
• 33 5? Broyara) - Используйте правила Yara от Bro.
• 714 159? Captipper) - Злоусобной HTTP Traffic Explorer.
• 489 112? Чопшоп) - Анализ протокола и рамки декодирования.
• ? CloudShark - веб -инструмент для анализа пакетов и обнаружения вредоносного обеспечения.
• 1830 364? Fakenet -NG) - инструмент динамического сетевого анализа следующего поколения.
• ? Fiddler - перехват веб -прокси, предназначенный для «веб -отладки».
• 188 64? Hale) - монитор ботнета C & C.
• Хака - ориентированный на безопасность языка с открытым исходным кодом для описания протоколов и применения политик безопасности на (живом) захваченном трафике.
• 95 35? Httpreplay) - библиотека для анализа и чтения файлов PCAP, включая потоки TLS с использованием TLS Master Secrets (используется в песочнице кукушки).
• INESTIM - Сетевая служба эмуляция, полезно при создании вредоносной лаборатории.
• 743 156? Laika Boss) - Laika Boss - это система анализа вредоносных программ и обнаружения вредоносных программ.
• 371 60? Малкольм) - Малкольм - это мощный, легко развертываемый набор инструментов для анализа сетевого трафика для полных артефактов захвата пакетов (файлы PCAP) и журналов Zeek.
• 1160 216? MALCOM) - Анализатор связи вредоносных программ.
• 6660 1105? MALTRAIL) - Система обнаружения вредоносных движений, использующая общедоступные (черные) списки, содержащие вредоносные и/или, как правило, подозрительные следы и включающие интерфейс отчетности и анализа.
• ? mitmproxy - перехват сетевого трафика на лету.
• 6442 1045? MOLOCH) - Поглощение трафика IPv4, индексация и система базы данных.
• NetworkMiner - Инструмент для анализа сети с бесплатной версией.
• 909 102? ngrep) - Поиск через сетевой трафик, как grep.
• 345 61? PCAPVIZ) - Топология сети и визуализатор трафика.
• 58 13? Python Icap Yara) - сервер ICAP с сканером Yara для URL или контента.
• 78 27? Squidmagic) - Squidmagic - это инструмент, предназначенный для анализа веб -сетевого трафика для обнаружения центральных команд и контрольных серверов (C & C) и вредоносных сайтов с использованием прокси -сервера Squid и Spamhaus.
• TCPDUMP - Соберите сетевой трафик.
• TCPICK - Trach и повторно поток TCP от сетевого трафика.
• TCPXTRACT - Извлечение файлов из сетевого трафика.
• ? Wireshark - инструмент анализа сетевого трафика.

Инструменты для рассечения вредоносных программ в изображениях памяти или на запущенных системах.

• ? Blacklight - Windows/Macos Forensics Client, поддерживающий Hiberfil, Pagefile, анализ необработанной памяти.
• 211 48? Damm) - Дифференциальный анализ вредоносных программ в памяти, построенный на волатильности.
• 260 42? Evolve) - Веб -интерфейс для фрейнти -криминалистики памяти волатильности.
• ? Findaes - Найдите клавиши шифрования AES в памяти.
• 281 57? invtero.net) - высокоскоростная структура анализа памяти, разработанная в .net, поддерживает All Windows X64, включает в себя целостность кода и поддержку записи.
• 52 9? MUNINN) - Сценарий для автоматизации части анализа с использованием волатильности и создания читаемого отчета. 226 19? OROCHI) - OROCHI - это структура с открытым исходным кодом для совместного анализа дамп судебной памяти.
• Реколл - структура анализа памяти, разветвленная от волатильности в 2013 году.
• 49 9? TotalRecall) - Сценарий на основе волатильности для автоматизации различных задач анализа вредоносных программ.
• 194 50? Волдифф) - Запустите волатильность на изображениях памяти до и после выполнения вредоносных программ, и отчет об изменениях.
• 7431 1294? Волатильность) - Расширенная фондовая фреймворк -криминалистика памяти.
• 381 82? Volutility) - Веб -интерфейс для структуры анализа памяти волатильности.
• 621 179? WDBGARK) - WindBG Anti -Rootkit Extension.
• ? WindBG - Инспекция памяти живой памяти и отладка ядра для Windows Systems.

• 184 29? Achoir) - сценарий реагирования на инцидент в прямом эфире для сбора артефактов Windows.
• 49 11? Python -EVT) - библиотека Python для анализа журналов событий Windows.
• Python -Registry - Библиотека Python для файлов реестра анализа.
• Regripper ( ? ?? Github)) - Инструмент анализа реестра на основе плагинов.

• 158 53? ALEPH) - Система конвейера по анализу вредоносных программ с открытым исходным кодом.
• ? CRITS - Совместное исследование угроз, вредоносного ПО и репозитория угроз.
• ? Слава-структура анализа вредоносных программ с использованием конвейера, который может быть расширен с помощью пользовательских модулей, которые могут быть прикованы и взаимодействовать друг с другом для выполнения сквозного анализа.
• 134 43? Malwarehouse) - хранить, теги и поиск вредоносных программ.
• 376 60? Polichombr) - платформа для анализа вредоносных программ, предназначенная для того, чтобы помочь аналитикам совместно обратить вспять Malwares.
• STOQ - Распространенный анализ контента с обширной поддержкой плагина, от ввода до вывода и всего, что между ними.
• Viper - бинарная структура управления и анализа для аналитиков и исследователей.

• 6002 1178? Al-Khaser)-вредоносное ПО POC с благими намерениями, которое подчеркивает антимологусные системы.
• 39 12? Cryptoknight) - Автоматизированный криптографический алгоритм обратный инженер и структура классификации.
• 306 59? DC3 -MWCP) - Организация синтаксического анализа «Конфигурация вредоносных программных программных программных программных программных программ».
• 6727 931? Flare VM) - полностью настраиваемое распределение безопасности для анализа вредоносных программ.
• 537 198? MALSPLOITBASE) - база данных, содержащая эксплойты, используемые вредоносными программами.
• ? Музей вредоносных программ - коллекция программ вредоносных программ, которые были распространены в 1980 -х и 1990 -х годах.
• 1 0? Организатор вредоносных программ) - простой инструмент для организации больших вредоносных/доброкачественных файлов в организованную структуру.
• 3464 467? Pafish) - Paranoid Fish, a demonstration tool that employs several techniques to detect sandboxes and analysis environments in the same way as malware families do.
• ? REMnux - Linux distribution and docker images for malware reverse engineering and analysis.
• ? Tsurugi Linux - Linux distribution designed to support your DFIR investigations, malware analysis and OSINT (Open Source INTelligence) activities.
• ? Santoku Linux - Linux distribution for mobile forensics, malware analysis, and security.

Essential malware analysis reading material.

• ? Learning Malware Analysis - Learning Malware Analysis: Explore the concepts, tools, and techniques to analuze and investigate Windows malware
• ? Malware Analyst's Cookbook and DVD - Tools and Techniques for Fighting Malicious Code.
• ? Mastering Malware Analysis - Mastering Malware Analysis: The complete malware analyst's guide to combating malicious software, APT, cybercime, and IoT attacks
• ? Mastering Reverse Engineering - Mastering Reverse Engineering: Re-engineer your ethical hacking skills
• ? Practical Malware Analysis - The Hands-On Guide to Dissecting Malicious Software.
• ? Practical Reverse Engineering - Intermediate Reverse Engineering.
• ? Real Digital Forensics - Computer Security and Incident Response.
• ? Rootkits and Bootkits - Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats
• ? The Art of Memory Forensics - Detecting Malware and Threats in Windows, Linux, and Mac Memory.
• ? The IDA Pro Book - The Unofficial Guide to the World's Most Popular Disassembler.
• ? The Rootkit Arsenal - The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System

• 1668 282? APT Notes) - A collection of papers and notes related to Advanced Persistent Threats.
• 964 282? Ember) - Endgame Malware BEnchmark for Research, a repository that makes it easy to (re)create a machine learning model that can be used to predict a score for a PE file based on static analysis.
• 10591 742? File Formats posters) - Nice visualization of commonly used file format (including PE & ELF).
• Honeynet Project - Honeypot tools, papers, and other resources.
• Kernel Mode - An active community devoted to malware analysis and kernel development.
• ? Malicious Software - Malware blog and resources by Lenny Zeltser.
• ? Malware Analysis Search - Custom Google search engine from Corey Harrell.
• Malware Analysis Tutorials - The Malware Analysis Tutorials by Dr. Xiang Fu, a great resource for learning practical malware analysis.
• ? Malware Analysis, Threat Intelligence and Reverse Engineering - Presentation introducing the concepts of malware analysis, threat intelligence and reverse engineering. Experience or prior knowledge is not required. Labs link in description.
• 165 15? Malware Persistence) - Collection of various information focused on malware persistence: detection (techniques), response, pitfalls and the log collection (tools).
• Malware Samples and Traffic - This blog focuses on network traffic related to malware infections.
• ? Malware Search+++ Firefox extension allows you to easily search some of the most popular malware databases
• ? Practical Malware Analysis Starter Kit - This package contains most of the software referenced in the Practical Malware Analysis book.
• 3784 788? RPISEC Malware Analysis) - These are the course materials used in the Malware Analysis course at at Rensselaer Polytechnic Institute during Fall 2015.
• WindowsIR: Malware - Harlan Carvey's page on Malware.
• 332 73? Windows Registry specification) - Windows registry file format specification.
• ? /r/csirt_tools - Subreddit for CSIRT tools and resources, with a ? malware analysis flair.
• ? /r/Malware - The malware subreddit.
• ? /r/ReverseEngineering - Reverse engineering subreddit, not limited to just malware.

• 8295 1455? Android Security)
• 6387 742? AppSec)
• 9945 1497? CTFs)
• 1233 107? Executable Packing)
• 4039 632? Forensics)
• 13362 1556? "Hacking")
• 8757 1267? Honeypots)
• 1658 438? Industrial Control System Security)
• 7751 1537? Incident-Response)
• 5229 739? Infosec)
• 3149 466? PCAP Tools)
• 22166 4493? Pentesting)
• 12586 1938? Безопасность)
• 8246 1499? Threat Intelligence)
• 3608 495? YARA)

Pull requests and issues with suggestions are welcome! Please read the CONTRIBUTING guidelines before submitting a PR.

This list was made possible by:

• Lenny Zeltser and other contributors for developing REMnux, where I found many of the tools in this list;
• Michail Hale Ligh, Steven Adair, Blake Hartstein, and Mather Richard for writing the Malware Analyst's Cookbook , which was a big inspiration for creating the list;
• And everyone else who has sent pull requests or suggested links to add here!

Спасибо!

12101 2585? rshipp/awesome-malware-analysis)